#ParsedReport #CompletenessLow
12-06-2023

About PowerHarbor, a new malware used by SteelClover

https://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor

Report completeness: Low

Actors/Campaigns:
Steelclover

Threats:
Powerharbor

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1036, T1082, T1056, T1086, T1140

IOCs:
Registry: 1
IP: 1

Softs:
telegram, winscp

Algorithms:
xor

Functions:
GetBrowsers

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С февраля 2023 года SteelClover проявляет все большую активность, и исследователи безопасности заметили новую вредоносную программу под названием PowerHarbor. PowerHarbor состоит из модулей PowerShell и содержит модули для кражи учетных данных. Он использует RSA-шифрование для передачи и приема данных. Модуль GetBrowsers собирает информацию об установленных браузерах и может быть вовлечен в подготовку к будущим атакам. Важно, чтобы пользователи были осторожны, а исследователи безопасности уделяли пристальное внимание PowerHarbor по мере его развития и эволюции.
-----

Известно, что SteelClover проявили повышенную активность в феврале 2023 года, а с конца мая 2023 года их атакующие операции стали несколько нерегулярными. В ответ на это исследователи безопасности заметили новую вредоносную программу под названием PowerHarbor, состоящую из модулей PowerShell. Было замечено, что PowerHarbor содержит модули для кражи учетных данных, что позволяет злоумышленнику красть учетные данные жертвы из браузеров.

Программа загрузки PowerHarbor получает UUID класса Win32_ComputerSystemProduct и отправляет его на командно-контрольный (C&C) сервер. Все передачи и приемы кодируются с помощью жестко закодированного ключа XOR. После этого выполняется проверка для предотвращения множественных атак на один и тот же UUID. Если он признается целью атаки, загружается и выполняется основной модуль. Основной модуль постоянно связывается с сервером C&C, выполняет и удаляет дополнительные модули, отправленные с сервера C&C. Связь с сервером C&C шифруется с помощью RSA-шифрования с использованием жестко закодированных ключевых данных.

Похищенные данные шифруются с помощью RSA-шифрования с использованием открытого ключа, включенного в модуль StealData, когда они получены и отправлены на C&C сервер. Это означает, что никакие данные не могут быть восстановлены из данных трафика и никто не может знать, что было украдено.

Модуль GetBrowsers собирает информацию об установленных браузерах. Хотя само по себе это нельзя назвать вредоносным поведением, считается, что это делается с целью получения статистики пользователей жертвы и может быть связано с подготовкой к будущим атакам.

Эта статья показала, что SteelClover использует PowerHarbor, новую вредоносную программу, состоящую из модулей. Возможно, будут внедрены и другие модули, поэтому в будущем пользователи должны быть осторожны. Исследователи безопасности должны уделять пристальное внимание PowerHarbor по мере его развития и эволюции.

#ParsedReport #CompletenessLow
12-06-2023

Sneaky DoubleFinger loads GreetingGhoul targeting your cryptocurrency

https://securelist.com/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer/109982

Report completeness: Low

Threats:
Doublefinger
Greetingghoul
Dll_sideloading_technique
Steganography_technique
Remcos_rat

Victims:
Mt. gox exchange, victims in europe, usa and latin america

Industry:
Financial

Geo:
Russian, Usa, America

IOCs:
File: 5
Hash: 7
Domain: 1

Softs:
windows com

Crypto:
bitcoin

Functions:
Windows

Languages:
java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы DoubleFinger loader и GreetingGhoul, обладающие высоким уровнем изощренности и сложными техниками, используются для кражи учетных данных, связанных с криптовалютами, что роднит их с передовыми постоянными угрозами (APT). Для защиты от этих угроз следует обратиться к отчетам экспертов в данной области.
-----

Кража криптовалюты не является чем-то новым, и это явление быстро становится все более изощренным. Загрузчик DoubleFinger является одним из примеров многоступенчатой вредоносной программы, используемой для кражи криптовалют. Вначале жертва открывает вредоносное вложение PIF в сообщении электронной почты, после чего выполняется модифицированный двоичный файл espexe.exe. Этот двоичный файл содержит вредоносный шеллкод, который загружает PNG-изображение с сайта Imgur.com. Затем шеллкод ищет магические байты в изображении и находит зашифрованную полезную нагрузку.

Шелл-код второго этапа загружается путем выполнения легитимного двоичного файла Java, расположенного в том же каталоге, что и шелл-код загрузчика второго этапа, который затем расшифровывается и выполняет шелл-код третьего этапа. Этот шеллкод третьего этапа использует низкоуровневые вызовы Windows API для обхода крючков, установленных решениями безопасности, перед расшифровкой и выполнением полезной нагрузки четвертого этапа.

На четвертом этапе создается запланированное задание, которое выполняет кражу GreetingGhoul каждый день в определенное время. Затем он загружает другой PNG-файл, содержащий зашифрованный двоичный файл GreetingGhoul, который затем расшифровывается и выполняется. GreetingGhoul предназначен для кражи учетных данных, связанных с криптовалютами, и состоит из двух основных компонентов, которые работают вместе.

Анализ вредоносных программ DoubleFinger loader и GreetingGhoul показывает высокий уровень сложности и мастерства в разработке криминального ПО, схожий с продвинутыми постоянными угрозами (APT). Использование среды исполнения Microsoft WebView2 для создания поддельных интерфейсов криптовалютных кошельков еще больше подчеркивает сложные методы, используемые вредоносным ПО. Защититься от этих угроз помогут разведывательные отчеты, которые можно получить в частном порядке от экспертов в данной области.

#ParsedReport #CompletenessLow
12-06-2023

Track Kimsuky Bitcoin Address. 1. Announcement of joint security advisory by the US and ROK governments

https://blog-plainbit-co-kr.translate.goog/kimsuky-bitcoin-address-tracking/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Kimsuky
Lazarus

Threats:
Kraken

Industry:
Financial, Government

Geo:
Usa, Ukraine, Korean, China, Korea

IOCs:
Coin: 7

Crypto:
bitcoin, binance

#ParsedReport #ExtractedSchema

Classified images:
schema: 7, chart: 1, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Правительства США и Южной Кореи выпустили совместный совет по безопасности для группы Kimsuky из-за использования ими Peel Chain для отмывания криптовалюты и их способности использовать преимущества бирж как со свободной, так и со строгой политикой KYC.
-----

Правительства США и Южной Кореи выпустили совместный совет по безопасности для группы Кимсуки, представительной северокорейской хакерской организации, которая похищала информацию и технологии по всему миру. Правительство Южной Кореи назначило Суки Ким первым в мире субъектом независимых санкций против Северной Кореи. Известно, что группа использует Peel Chain для отмывания криптовалюты, что затрудняет ее отслеживание.

Для анализа адреса Bitcoin, принадлежащего группе Kimsuky, было проведено семь входящих транзакций и две исходящие транзакции. Шесть из входящих транзакций были определены как средства, переведенные с Upbit, внутренней биржи. Два адреса, начинающиеся на 3, с разными форматами адресов были определены как адреса платежей, а остальные адреса - как адреса баланса. Средства были отправлены в такие кластеры, как bitzlato, whitebit, paxful, ftx и discus_fish.

Bitzlato - это биржа, расположенная в Гонконге и известная своей нечеткой политикой KYC. Сообщается, что с 2018 по 2022 год она обработала более 700 миллионов долларов США незаконных средств, а в январе 2023 года ее деятельность была пресечена правоохранительными органами, в результате чего сайт был конфискован, а основатели арестованы за ведение нелицензированного бизнеса по переводу денег. Whitebit - это криптовалютная биржа, расположенная в Украине, и известно, что на крупных биржевых платформах применяются достаточные процедуры KYC.

По анализируемому адресу было проведено две исходящие транзакции, одна из которых была транзакцией, в которой средства были отправлены на адрес, идентифицированный как lazarus group. Средства также были отправлены на адреса криптовалютных сервисов, идентифицированных как binance, bitzlato, ice3, totalcoin.io, paxful, whitebit, payeer, freewallet.org, Lbank, coinpayments и т.д., а также на адреса, предположительно являющиеся неидентифицированными кластерами и биржами.

Анализ биткоин-адреса, принадлежащего группе Kimsuky, показывает, как группа предпринимает шаги, чтобы затруднить властям отслеживание своих транзакций. Он также показывает, как группа может воспользоваться биржами с нестрогой политикой KYC, а также биржами с более строгой политикой, чтобы отмывать свои средства. Это помогает объяснить, почему правительства США и Южной Кореи выпустили совместный совет по безопасности для группы Кимсуки, и почему правительство Южной Кореи назначило Суки Ким первым в мире субъектом независимых санкций против Северной Кореи.

#ParsedReport #CompletenessMedium
12-06-2023

Sidecopy

https://mp-weixin-qq-com.translate.goog/s/kiwP2rKfllbRq2Afn8jKWw?_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Sidecopy
Sidewinder
Transparenttribe

Threats:
Fetarat

Victims:
Indian government, national defense, and military personnel

Industry:
Government

Geo:
Indian

ChatGPT TTPs:
do not use without manual check
T1193, T1132, T1036, T1090

IOCs:
File: 12
Url: 8
Path: 1
IP: 1
Email: 1

Softs:
wechat, net framework, wordpress

Algorithms:
zip, base64

Win API:
CreateProcess

Languages:
php

SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 15, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Sidecopy - организация, занимающаяся кибер-атаками на персонал, связанный с индийским правительством, национальной обороной и вооруженными силами, в основном использует FetaRAT, новый троян-бэкдор на языке C#. Вредоносные файлы были размещены на сайте индийской переводческой компании под названием ElfinIndia, который был создан с использованием WordPress.
-----

Sidewinder - организация, занимающаяся кибератаками и нацеленная на персонал, связанный с индийским правительством, национальной обороной и вооруженными силами. В 2022 году было установлено, что Sidecopy имеет общую инфраструктуру с организацией TransparentTribe, действующей в том же регионе, и имеет схожие цели атак.

Sidewinder в основном использует FetaRAT, новый C#-бэкдор троян. FetaRAT обладает такими функциями, как подключение к сети, сбор информации, загрузка файлов, загрузка скриншотов и воспроизведение аудио. Он также может выполнять произвольные команды, завершать работу и воспроизводить аудиофайлы.

Был обнаружен образец вредоносного кода, содержащий файл LNK, замаскированный под файл DOCX. Имя файла было Asigma от 22 мая 23 года .pdf.lnk. Asigma - это специальное средство связи для индийской армии. Содержимое файла-обманки представляло собой список обучающихся и соответствующих курсов, утвержденных индийским правительством, что указывает на то, что атака была направлена на индийских государственных служащих и военных.

Вредоносный файл был размещен на сайте индийской переводческой компании под названием ElfinIndia, который был создан с использованием WordPress. Захватывая законные веб-сайты, организации Sidecopy могут размещать на них вредоносные файлы, что повышает их анонимность и затрудняет отслеживание и поиск.

#ParsedReport #CompletenessHigh
12-06-2023

A Truly Graceful Wipe Out

https://thedfirreport.com/2023/06/12/a-truly-graceful-wipe-out

Report completeness: High

Actors/Campaigns:
Fin11
Whisper_spider (motivation: financially_motivated)
Ta505 (motivation: financially_motivated)

Threats:
Cobalt_strike
Truebot
Flawedgrace_rat
Barbwire
Adfind_tool
Beacon
Nltest_tool
Passthehash_technique
Impacket_tool
Clop
Raspberry_robin
Truecore
Process_injection_technique
Secretsdump_tool
Killdisk
Antidebugging_technique
Vmprotect_tool
Meterpreter_tool
Silence_botnet
Credential_dumping_technique

Industry:
Financial

Geo:
Chile

CVEs:
CVE-2012-35211 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 12
Technics: 28

IOCs:
File: 20
IP: 8
Url: 3
Path: 17
Domain: 1
Hash: 17
Command: 7
Registry: 8

Softs:
windows defender, psexec, goanywhere, serv-u, windows registry, task scheduler, nsis installer, chrome, windows service, whatsapp, have more...

Algorithms:
bzip, rc4, 7zip, sha1, sha256

Functions:
NSIS, Killer

Win API:
VirtualAllocEx, CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread, CloseHandle, SeShutdownPrivilege, ExitWindowsEx

Languages:
php

YARA: Found
SIGMA: Found

Links:
https://github.com/The-DFIR-Report/Suricata-Rules/blob/main/rules/truebot.rules
https://github.com/fortra/impacket/blob/efc6a1c365d5e0317ebe6a432448c861616859a7/impacket/examples/secretsdump.py#L374
https://github.com/fortra/impacket/blob/efc6a1c365d5e0317ebe6a432448c861616859a7/impacket/examples/secretsdump.py
https://github.com/fortra/impacket/commit/551fb32988fa41df1f6a896841af327e4e1a58a3
https://github.com/fortra/impacket/blob/8b3f9eff06b3a14c09e8e64cfc762cf2adeed013/examples/atexec.py#LL122C29-L122C47

#ParsedReport #ExtractedSchema

Classified images:
code: 18, windows: 15, schema: 6, dump: 6, chart: 4, table: 14

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что угрозы использовали различные вредоносные действия, включая внедрение процессов, стирание структуры диска, эксфильтрацию, отключение или модификацию инструментов, деобфускацию/дешифрование файлов или информации, безфайловое хранение, обфускацию команд, запланированное задание, PowerShell, вредоносные файлы, веб-протоколы, пользовательский протокол команд и управления, обнаружение владельца/пользователя системы, группы домена, локальные группы, обнаружение доверия домена, обнаружение процессов, учетные записи домена, обнаружение файлов и каталогов, обнаружение удаленных систем, обнаружение защитного ПО, запрос реестра, общие ресурсы SMB/Windows admin, локальное хранение данных, память LSASS, передача хэша, действительные учетные записи, создание или изменение системных процессов, сброс учетных данных ОС, spearphishing ссылки и многое другое.
-----

Вредоносная программа Truebot использовалась для развертывания Cobalt Strike и FlawedGrace.

Угрожающие лица использовали систему распределения трафика (TDS) для доставки исполняемого файла Truebot.

Угрожающие субъекты использовали хэш локального администратора для осуществления латерального перемещения через среду по принципу pass-the-hash.

Угрожающие субъекты использовали Cobalt Strike для запроса информации и перемещения по сети.

FlawedGrace использовался для создания новых запланированных задач, чтобы установить постоянство на всех зараженных хостах.

Угрожающие субъекты использовали собственный бинарный протокол вредоносной программы FlawedGrace для связи со своими командно-контрольными серверами.

Угрожающие субъекты развернули чистильщика MBR Killer в течение четырех часов после завершения эксфильтрации.

Угрозы использовали различные виды вредоносной деятельности, включая внедрение процессов, стирание структуры диска, эксфильтрацию по альтернативным протоколам, отключение или модификацию инструментов, деобфускацию/дешифрование файлов или информации, хранение без файлов, обфускацию команд, запланированное задание, PowerShell, вредоносные файлы, веб-протоколы, пользовательский протокол команд и управления, обнаружение владельца/пользователя системы, группы домена, локальные группы, обнаружение доверия домена, обнаружение процессов, учетная запись домена, обнаружение файлов и каталогов, обнаружение удаленных систем, обнаружение защитного ПО, запрос реестра, общие ресурсы SMB/Windows admin, локальное хранение данных, память LSASS, передача хэша, действительные учетные записи, создание или изменение системных процессов, сброс учетных данных ОС, spearphishing ссылки и многое другое.

#ParsedReport #CompletenessHigh
12-06-2023

RedEyes group wiretapping individuals (APT37)

https://asec.ahnlab.com/ko/53851

Report completeness: High

Actors/Campaigns:
Apt37
Scarcruft

Threats:
Kisa
W4sp
Dll_sideloading_technique
Trojan/win.goably.c5436296
Trojan/win.goably.c5422375
Trojan/win.loader.c5424444

Victims:
Individuals, including north korean defectors, human rights activists, and university professors

Industry:
Education

Geo:
Korea, Korean

TTPs:
Tactics: 4
Technics: 1

IOCs:
File: 6
Command: 2
Path: 6
Registry: 1
IP: 1
Url: 3
Hash: 6

Softs:
component object model

Algorithms:
zip, base64

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, dump: 2, code: 8, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа RedEyes (APT37, ScarCruft, Reaper) в мае 2023 года инициировала вредоносную атаку с использованием фишинговых писем, бэкдоров Golang и нового вредоносного ПО для кражи информации с функцией прослушивания микрофона. Чтобы защититься от подобных атак, люди должны быть осторожны, не открывать вложения в письмах из неизвестных источников и проверять источник почты перед выполнением любых вложенных файлов.
-----

В мае 2023 года Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил факт вредоносной атаки, организованной группой RedEyes (также известной как APT37, ScarCruft, Reaper). Эта поддерживаемая государством организация APT известна тем, что атакует таких людей, как северокорейские перебежчики, правозащитники и преподаватели университетов, чтобы следить за их повседневной жизнью. В рассматриваемой атаке в основном использовались бэкдоры Golang, злоупотребляющие платформой Ably, а также новые вредоносные программы для кражи информации с функцией прослушивания микрофона.

Атака была инициирована с помощью фишинговых писем, которые содержали обычный зашифрованный документ, а также вредоносный CHM-файл, замаскированный под файл паролей. После выполнения CHM-файла запускался файл MSHTA.exe и вредоносный скрипт с C&C-сервера злоумышленника. Этот вредоносный скрипт был идентифицирован как вредоносная программа PowerShell с функциями бэкдора и ключами реестра для сохранения. Вредоносная программа PowerShell выполняла команды с сервера C&C без использования CMD.exe, а также устанавливала ключ реестра для автовыполнения, чтобы вредоносный скрипт выполнялся с сервера C&C злоумышленника даже после перезагрузки.

Затем злоумышленник повышал привилегии и распространял вредоносные коды для утечки информации через вредоносный бэкдор, используя платформенный сервис Ably, основанный на языке Go. Бэкдор Go на базе Ably был идентифицирован как хранящий ключ аутентификации в репозитории Github, который был необходим для осуществления канальной связи со злоумышленником. Все команды, полученные с C&C-сервера, выполнялись через CMD.exe, а результат выполнения команды CMD отправлялся на канал связи через UP-сообщение.

Затем злоумышленник выполнял вредоносный код для утечки информации в бесфайловой форме, который включал функции захвата скриншотов экрана ПК, утечки данных со съемных носителей и смартфонов, регистрации ключей и подслушивания. ASEC назвала эту вновь выявленную вредоносную программу FadeStealer (Fade как кража), основываясь на характеристиках названия папки, в которой хранились утечка данных. FadeStealer создавал и хранил папки для каждой утечки данных по пути %temp%, сжимал данные с паролем и отправлял их на C&C-сервер злоумышленника каждые 30 минут.

Группе RedEyes удалось провести сложную и тщательную атаку, которая позволила им получить доступ к цели через фишинговые письма и использовать канал Ably в качестве сервера управления. Таким образом, людям было сложно распознать нанесенный ущерб. Чтобы предотвратить подобные атаки, люди должны быть осторожны и не открывать вложения в электронных письмах из неизвестных источников. В частности, для первоначального проникновения организация использовала вредоносные программы с расширениями CHM и LNK, поэтому при открытии файлов во вложениях электронной почты следует обращать особое внимание на расширение. Также важно снять флажок с опции "Скрыть расширение" и проверять источник почты перед выполнением любых вложенных файлов. Выполняя эти действия, люди могут значительно снизить риск стать жертвой вредоносной атаки.

#ParsedReport #CompletenessMedium
12-06-2023

Analysis of attack activities targeting the financial departments of Chinese companies disguised as red teams

https://mp-weixin-qq-com.translate.goog/s/bQOGFjThnNvm_H6x4N5orw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Medium

Threats:
Dll_sideloading_technique

Victims:
Joint venture car company, a financial company, a cooperative data provider, and an accounting firm

Industry:
Energy, E-commerce, Financial, Education

Geo:
China, Singapore, Asia, Russia, Japan, Seychelles, Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 13
Url: 14
IP: 22
Domain: 1
File: 5
Path: 1

Softs:
wechat

Algorithms:
crc-32

Functions:
GetInstallDetailsPayload, update

Win API:
LoadLibrary, GetProcAddress

Languages:
c_language

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Venustech ADLab выявила сложную атакующую кампанию, направленную на финансовые отделы различных китайских предприятий. Злоумышленники разработали адаптированную версию троянца загрузчика и удаленного управления с использованием C++ и использовали различные сетевые облачные ресурсы для хранения вредоносных файлов и сокрытия реального URL. Атака была замаскирована под атаки красной команды наступательных и оборонительных учений, а полученные вредоносные полезные нагрузки были настроены хакерской организацией.
-----

Лаборатория Venustech ADLab отследила многочисленные целевые атаки на финансовые отделы китайских предприятий. Для проведения атак злоумышленники использовали настроенных неизвестных троянских коней и большое количество вредоносной полезной нагрузки. 19 мая 2023 года внутренний сотрудник компании отправил письмо с атакой, содержащее вредоносные коды через вложение "трехэтапная политика корпоративного налогового стимулирования". Атака была замаскирована под атаки красной команды (атакующей) наступательных и оборонительных учений.

Полученные вредоносные коды были неизвестными троянскими конями, настроенными хакерской организацией. Инфраструктура, используемая злоумышленниками, широко распространена и многочисленна, а большое количество инфраструктурных активов все еще активны и не были обнаружены и зарегистрированы основными платформами угроз. Злоумышленники использовали различные сетевые облачные ресурсы для хранения вредоносных файлов и сокрытия реального URL, такие как 119[.29.235.104, 159[.75.237.39 и www[.kehustudent[.top. Информация о C&C включает серверы, расположенные в Гонконге, Китае, материковом Китае, США, Сингапуре, Японии и на Сейшельских островах. Большинство C&C-серверов не отметились в отчете о вирусе на Virustotal.

Общий процесс атаки можно разделить на три этапа. Сначала злоумышленник доставляет жертве начальный файл-приманку. После того как жертва распакует и выполнит программу, вредоносный код будет загружен и исполнен на втором этапе. Загруженный вредоносный код включает в себя легальный белый файл (medge.exe) и вредоносную DLL (nw_elf.dll), а затем выполняет модуль nw_elf.dll через технологию боковой загрузки DLL, после чего загружает и выполняет пользовательскую троянскую DLL на третьем этапе. После сбора и предоставления информации о хосте злоумышленник принимает решение о выполнении других модулей расширения для осуществления более возможных высокорискованных атак (таких как кража, боковое перемещение и т.д.).

Вредоносный образец на последнем этапе атаки представляет собой специализированный троянец удаленного управления, написанный на языке C++. Троянец имеет две функции экспорта, основная функция называется "обновление". Троянец проверяет трафик брандмауэра и сравнивает имя текущего запущенного процесса со списком имен процессов антивирусного программного обеспечения. Троянский конь взаимодействует с управляющим сервером, используя метод сокета (socket). Троянский конь может выполнять такие операции, как инсталляция и резидент, удаление модуля, удаленная работа с файлами и получение списка процессов.

#ParsedReport #CompletenessHigh
12-06-2023

Key takeaways. Elastic charms SPECTRALVIPER

https://www.elastic.co/security-labs/elastic-charms-spectralviper

Report completeness: High

Actors/Campaigns:
Ref2754
Oceanlotus
Ref4322

Threats:
Spectralviper
Seth_locker
P8loader
Powerseal
Procdump_tool
Lolbas_technique
Donutloader
Beacon
Phoreal
Pipedance
Supply_chain_technique
Process_injection_technique

Victims:
Vietnam-based financial services company and large vietnam-based agribusiness

Industry:
Financial, Foodtech

Geo:
Vietnam, Vietnamese

TTPs:
Tactics: 7
Technics: 0

IOCs:
Path: 1
File: 9
Domain: 5
Hash: 8

Softs:
sysinternals, winlogon, internet explorer, event tracing for windows, microsoft defender

Algorithms:
rsa-1024, base64, zip, sha256, aes

Functions:
SetBeaconIntervals, CreateProcessAndInjectShellcode, CreateProcessAndHollow, GetCurrentUserName

Win API:
NtWriteVirtualMemory, VirtualAlloc, RevertToSelf, CopyFile, DeleteFile, CreateDirectory, MoveFile

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/BenjaminSoelberg/RunDLL-NG
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_PowerSeal.yar
https://github.com/elastic/labs-releases/tree/main/indicators/spectralviper
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_P8Loader.yar
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_SpectralViper.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 2, chart: 2, code: 10, windows: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Elastic Security Labs обнаружила вредоносную программу SPECTRALVIPER, нацеленную на национальный вьетнамский агропромышленный комплекс. Это сильно обфусцированный, ранее не раскрытый бэкдор для x64, который обеспечивает загрузку и внедрение PE, загрузку и скачивание файлов, манипуляции с файлами и каталогами, а также возможность имперсонации токенов. Его приписывают вьетнамскому набору вторжений и приписывают агенту угроз Canvas Cyclone/APT32/OceanLotus.
-----

Лаборатория Elastic Security Labs уже несколько месяцев отслеживает вторжение, направленное на крупные вьетнамские государственные компании, REF2754. За это время наша команда обнаружила новое вредоносное ПО, используемое в координации связанным с государством субъектом, известным как SPECTRALVIPER. Это вредоносное ПО представляет собой сильно обфусцированный, ранее не раскрытый бэкдор для x64, который обеспечивает загрузку и внедрение PE, загрузку и скачивание файлов, манипуляции с файлами и каталогами, а также возможности имперсонации токенов. Предполагается, что данный набор вторжений был осуществлен угрозой, связанной с вьетнамским государством, и связан с агентом угроз Canvas Cyclone/APT32/OceanLotus.

Анализ вредоносной программы SPECTRALVIPER показывает, что она может быть скомпилирована как исполняемый файл или DLL, которые обычно имитируют известные двоичные экспорты. Вредоносная программа может работать как в режиме именованного канала, так и в режиме HTTP. Она способна загружать и внедрять исполняемые файлы для архитектур x86 и x64. Она может выдавать себя за маркеры безопасности, предоставляя повышенные привилегии. Он может загружать и выгружать файлы на взломанную систему и из нее. Он может манипулировать файлами и каталогами на взломанной системе. Он использует DONUTLOADER, P8LOADER и POWERSEAL для создания цепочки выполнения и уклонения.

P8LOADER - это недавно обнаруженный загрузчик для x64 Windows, который используется для выполнения PE из файла или из памяти. Это вредоносное ПО способно перенаправлять вывод загруженного PE в свою систему ведения журнала и подключать импорт PE к вызовам импорта журнала. POWERSEAL - это новый и специально разработанный загрузчик PowerShell, который свободно заимствует различные инструменты наступательной безопасности с открытым исходным кодом, предоставляя наступательные возможности в оптимизированном пакете со встроенными средствами уклонения от защиты.

Используя информацию, собранную с помощью статического и динамического анализа, мы смогли идентифицировать еще несколько образцов в VirusTotal. Мы также собрали информацию об инфраструктуре C2 для этих образцов. Используя нашу сигнатуру SPECTRALVIPER YARA, мы выявили две конечные точки во второй среде, зараженные имплантатами SPECTRALVIPER. Эта среда обсуждалась в исследовании Elastic Security Labs в 2022 году, в котором описывается REF4322. Жертва REF2754 была идентифицирована как крупный вьетнамский агропромышленный комплекс.

Elastic Security Labs с умеренной уверенностью пришла к выводу, что обе группы активности REF4322 и REF2754 представляют собой кампании, спланированные и осуществленные вьетнамской угрозой, связанной с государством. Жертвой REF4322 является финансовое учреждение, которое управляет капиталом для приобретения бизнеса и бывших государственных предприятий. Жертва REF2754 - крупный агропромышленный комплекс, играющий системообразующую роль в цепочках производства и распределения продовольствия во Вьетнаме. Обе жертвы были заражены семействами вредоносных программ DONUTLOADER, P8LOADER, POWERSEAL и SPECTRALVIPER. Угрожающая группа, имеющая доступ к записям финансовых операций, доступным в REF4322, в сочетании с национальной стратегической политикой безопасности продуктов питания в REF2754, могла бы получить представление о компетентности руководства, коррупции, иностранном влиянии или манипулировании ценами.